The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"IPFW нет http доступа в интернет на клиентской машине"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"IPFW нет http доступа в интернет на клиентской машине"  +/
Сообщение от 391072 (ok) on 08-Янв-10, 16:00 
Есть машина подключенная к интернету через kernel-ppp. На ней крутится роутер, дающий интернет на вторую машину, соединенную с первой через сеть. Пробовал разные наборы правил, настроеные под себя, пробовал писать свои. Пинги с роутера и клиентской машины в интернет идут. Браузер на роутере заходит на любой сайт. Браузер на клиенте не имеет доступа в интернет.

Лог говорит, что режутся пакеты:

Deny UDP XXX.XXX.XXX.XXX:53 192.168.Х.Х (адрес клиентской машины)

Deny TCP адрес.сервера.с.которого.запрашиваю.страницу:80 192.168.х.х

В правилах пробовал прописывать после правил 53 и 80 портов:

allow all from any 53,80 to any via ppp0 или то же, только вместо назначения any - адрес клиентской машины.

Всеравно не находит схожего правила и режет пакеты.

Интернет на клиентской машине появляется только при:

allow all from any to any

Привожу свои правила:

#!/bin/sh

/sbin/ipfw -q flush

cmd="/sbin/ipfw -q add"
oif="ppp0"
iif="rl0"
lan="192.168.0.0/8"
ns1="XXX.XXX.XXX.XXX"
ns2="XXX.XXX.XXX.XXX"

$cmd 25 allow all from any to any via $iif
$cmd 50 divert natd all from any to any via $oif
$cmd 75 check-state
$cmd 100 allow udp from any to $ns1 53 out via $oif keep-state
$cmd 101 allow tcp from any to $ns1 53 out via $oif setup keep-state
------/то же для второго ns/--------
$cmd 200 allow tcp from any to any 80 via $oif setup keep-state
$cmd 300 allow icmp from any to any
$cmd 65530 deny log all from any to any

кусок rc.conf с natd и firewall:

gateway_enable="YES"
firewall_enable="YES"
firewall_script="ipfw.conf"
natd_enable="YES"
natd_interface="ppp0"
natd_flags="-dynamic"

icmp_drop_redirect="YES"
icmp_log_redirect="YES"
icmp_bmcastecho="NO"
tcp_drop_synfin="YES"

Ядро компилил без default_to_acсept:

options IPFIREWALL
options IPDIVERT
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD

sysctl.conf:

net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
kern.ipc.somaxconn=1024
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=1
net.inet.icmp.icmplimit=100
net.link.ether.inet.max_age=1200
net.inet.icmp.maskrepl=0
net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
net.inet.icmp.bmcastecho=0
net.inet.ip.random_id=1

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "IPFW нет http доступа в интернет на клиентской машине"  +/
Сообщение от DenSha (??) on 11-Янв-10, 14:20 

>allow all from any 53,80 to any via ppp0 или то же,

а для интерфейса <клиент - роутер>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру